内部威胁早已广泛传播并引起众多安全管理者的共鸣,很多重大数据安全事件都是由内部因素所引发。然后即便如此,企业对内部威胁问题仍然没有足够的重视,大多数安全团队面对内部威胁都只会事后补救,缺乏前瞻意识。
根据 Ponemon Institute 的《全球内部威胁成本报告》显示,2022年较过去两年相比,内部威胁事件的总数增加了44%。数据显示,56%事件的根本原因是内部人员的疏忽,平均每起事件的成本为484931美元(约为310万人民币);内部人员恶意或者犯罪的成本更高,平均为648062美元(约为410万人民币),他们是26%的安全事件的幕后黑手。与此同时,利用权限账号盗窃占近两年安全事件的18%,高于2020年的14%。
内部威胁的种类非常多,从安全意识薄弱的员工、心怀不满的员工、离职员工和第三方,再到那些对敏感数据和系统拥有高级访问权限的用户,包括系统管理员、网络工程师甚至CISO等,都可能对企业数据造成威胁和损害。
内部威胁的具体表现
知其然,还需知其所以然,内部威胁的具体表现在哪?
1、特权账号/隐形特权账号
持有特权账户的人掌握着企业信息系统的生死大计,这些账户的使命是为公司各项业务正常开展保驾护航。然而,若“无意一指”,或是恶念乍起,这些缺乏管控的特权账户可能就会给公司业务带来灭顶之灾。
除了公司指定的特权账户,还存在一些隐形的特权账户,比如可以分配权限的账号,可以利用特权开通小号,做完风险查询操作之后删除小号,这样就了无痕迹,很难发现。
另外,一些项目涉及较多或者岗位轮换的员工,权限越开越大,这样的账号就接近特权账号了。隐形特权账号同样面临着持有者恶意破坏、监守自盗、失误操作等安全威胁。
2、权限泛滥/权限滥用
目前有很多行业的人员流动性很大,员工入离职以及转岗较多,权限越开越多;有的企业,第三方(如承包商、兼职员工、供应商、服务提供商和客户)也拥有企业系统的访问权限,随着第三方数快速增长以及维度扩大,数据的暴露面越来越大,风险就越来越大。
有时候为了简化用户管理流程,确保用户可以在不触发安全警报或被禁止使用必要资产的情况下完成工作,往往将不受限制或将过多的用户权限广泛分配给组、角色和个人。 结果,用户拥有过多的权限,数据的安全性可能会受到危害,可能会对数据进行未经授权的更改,包括添加、修改或删除数据;可能会查看机密或敏感数据,包括知识产权、代码,法律数据,以及员工和客户的个人信息,即使这些数据并非他们工作所必需的;甚至会贩卖数据博得利益。
3、越权行为
员工的越权行为是员工在工作中超越本职位的权力及其限度而作出不属于自己职权范围内工作的行为,越权行为包含两个重要特征:一是超越权限范围,二是擅自做决定。在大数据时代,企业中员工越权访问敏感数据并牟利的行为时有发生。2022年,一则“华为员工越权访问机密数据被判刑”的消息冲上热搜,该员工被指于2016年至2018年间越权访问机密数据并牟利。作为知名企业,华为一直非常重视数据信息的安全,不过员工违法违规还是时有发生,涉及信息数据泄露、专利侵权等。显然,越权行为是企业内部威胁重要的因素之一。
4、“僵尸账号”
随着时间的推移,业务系统在运营过程中会产生大量失效的账号和授权,比如测试账号或者临时项目人员账号等等,这些“僵尸账号”没有及时清理,可能会被黑客或病毒攻击,也可能会给一些心怀不轨的人制造了方便,蓄意造成破坏,可能会删除关键资料、重要文件,篡改后台密码、泄露数据等等。
5、共享账号/违规操作
为了便于工作,将自己的账号借给其他同事使用;在论坛或者其他传播媒介上沟通技术问题,将工作内容复制或者截图上传,用于讨论学习;为了方便远程办公,将公司敏感资料私自打印存留并带离公司;恶意导出数据,出售信息谋取利益;发生信息安全事件,及时处理未造成较大损失,因已经消除了影响并未上报备案。
6、API安全漏洞
应用程序编程接口(API)是一套规则和规范,管理两个应用程序如何互动,通常通过互联网。API也被称为一个应用程序的 "前门"。它增强了开发的生态系统,使其更容易在现有的平台上构建,而不是从头开始。
API安全对企业来说至关重要,因为API经常被用来向外部开发者暴露内部系统和数据。这样做的原因有很多,例如实现合作伙伴的整合,或者为第三方开发者在现有平台上建立新功能提供途径。然而,将内部系统和数据暴露给外部开发者也伴随着风险。例如,如果一个API没有得到正确的保护,它可能允许未经授权的人访问敏感数据。
7、离职泄密
打算离职的员工反复下载或者导出重要数据,离职后带走公司重要机密,可能将其所从事项目的成果归己所有,可能会将重要的公司信息泄露给竞争对手;或是,已经离职且还具有访问权限的员工再次登录系统,恶意破坏数据或者泄露数据等等。
企业如何防范?
没有数据安全事件发生,不代表没有内部威胁,哪怕不做任何操作,起码做到心中有数,防患于未然。企业如何防范?
No.1 数据管理
step1识别敏感数据:对于企业,到底有多少数据,包含了哪些数据,敏感数据有多少,分布在哪里。通过了解企业的高风险敏感数据,能够有针对性的建立起更有效的防御机制。因此,首先需要识别出企业所含的敏感数据及其分布情况。
step2数据分类分级:敏感等级不同的数据对内使用时受到的保护策略也不同,对外共享开放的程度也不同,高价值的数据需要更为严格的保护机制,而且数据的价值是有时效性的,数据的分类分级清单也需要不断变化。企业需要专业的数据分类分级产品或者服务来有效地保护企业重要数据资产。
step3敏感数据暴露面分析:这些敏感数据对外暴露给了多少业务系统,又通过业务系统暴露给多少部门,又暴露给多少人员?暴露的类型有哪些?暴露的量级有多少?通过数据暴露面分析了解敏感数据的安全风险程度。
step4数据安全技术管控:通过前面的数据梳理,了解数据的分布、数据的敏感程度、数据的风险成都,不同风险级别的数据需要采取不同的策略,监控、阻止、告警、脱敏、加密等。采取的数据安全管理技术可以根据数据的分级分类,结合业务,决定采用何种数据安全技术作为支撑。通常采取的技术有加解密、数据脱敏、DCAP、DLP、CASB、IAM、UEBA。
No.2 账号管理
临时账号:为承包方或实习生等第三方雇员建立临时账户,使这个临时账户在合同或工程期末的某一个特定的日期到期。这项举措会确保个人在离开后,不能再访问这些账户。可以根据需要延长账户的有效期限。
无效账户:定期多次开展审核,定期把已经失效的账号以及不活跃的僵尸账号给拉取出来,及时处理。企业应确保让离职员工知道不能带走公司的财产,并密切关注下载过多数据的员工,并执行离职流程,以便在员工离职后终止其账户访问权限。
特权账户:建立特权账号(包括隐形特权账户)名单,对特权账号做特定的限制,比如特权账号限定其访问的IP、地址和设备等等,也就是严格限定特权账号的使用地点,明确特权账号的使用场景。
特权员工的人数越少,保护企业数据就越容易。这不仅意味着有机会执行恶意操作的员工更少,还意味着黑客/内鬼可以入侵/冒用的账户也变少了。
不仅仅特权账户,企业所有的账户都应遵守权限最小化原则的网络安全标准,规定企业中的每个账户都应当具有尽可能少的特权,并在有必要的时候进行权限升级。使用权限最小化原则来控制账户可以访问哪些资源(例如,资产、应用程序、数据、设备、文件、网络、系统等),以及账户可以对这些资源执行哪些操作。这一点同样适用于第三方访问数据,确保他们具有最少的权限,并且在他们的工作完成时删掉凭证。
No.3 行为管控
1、提高员工的数据安全意识:定期开展数据安全宣传和培训活动,精心打造企业安全文化,让员工意识到数据安全的重要性以及违规行为的严重性。
2、访问行为管控:禁止员工之间共享账户,或尽可能限制共享账户的使用;可以采用一定的技术,使用零信任网络访问和行为分析等来检测异常活动,对账号登录、数据访问、数据下载、数据导出、复制截屏过程中的异常行为实时监测和告警。异常检测是识别用户执行异常活动的唯一途径,实时监测实时告警响应,并优先应对最关键的威胁。
3、安全审计:可以通过对用户访问数据行为的记录、分析和汇报,来帮助企业事后生成合规报告、事故追根溯源,同时通过大数据搜索技术提供高效查询审计报告,定位事件原因,以便日后查询、分析、过滤,实现加强内部网络行为的监控与审计,提高数据资产安全。
基于以上防护要点,推荐一款数据安全内控利器-极盾·觅踪,通过分析企业内部人员操作行为,扫描业务操作涉及的核心数据资产,构建围绕业务和人员的零信任数据安全体系,实现敏感数据识别、数据分类分级、风险监测、动态脱敏、访问控制、水印保护、安全审计等“硬管控”。